I domini possono subire attacchi hacker?

In che modo un dominio di primo livello (TLD) può essere compromesso?
Così come i siti web possono essere attaccati sfruttando le loro vulnerabilità, così anche un’estensione può esser compromessa toccando uno dei suoi punti vitali: i suoi nameserver.

E’ successo al TLD .io.

Quando un’estensione viene “creata”, si registrano i suoi nameserver, che la maggior parte delle volte sono terzi livelli.

Ad esempio alcuni dei nameserver del .com sono

;; AUTHORITY SECTION:
com.   172800 IN NS a.gtld-servers.net.
com.   172800 IN NS b.gtld-servers.net.
com.   172800 IN NS c.gtld-servers.net.
com.   172800 IN NS d.gtld-servers.net.
com.   172800 IN NS e.gtld-servers.net.
com.   172800 IN NS f.gtld-servers.net.
com.   172800 IN NS g.gtld-servers.net.

Dato che un TLD può avere diversi “authoritative nameservers” è possibile che a causa di una configurazione errata, una scadenza o un altro tipo di problema, qualcuno possa registrare un nome a dominio che corrisponde a uno dei nameserver e utilizzarlo.

Per il .io è andata esattamente così.
Alcuni dei suoi nameserver , tra cui ns-a1.io, non erano stati registrati e ci ha pensato un utente privato qualsiasi ad acquistarli e utilizzarli.

Il “fattaccio” è stato scoperto da Matthew Bryant, quando un venerdì notte vide che un suo script dava dei risultati sospetti in merito all’estensione .io
Una delle funzionalità di questo script, nominato TrustTrees, è verificare se qualcuno dei nameserver previsti per un’estensione risultino registrabili o meno.
A volte lo sono, infatti lo status che fu restituito era available, il che non significava necessariamente che il dominio potesse effettivamente essere registrato.

Esistono infatti nomi a dominio disponibili ma riservati, ovvero che nessun utente potrà mai registrare.

Matthew decise di contattare direttamente l’authority in questione (NIC.IO) per farsi dare conferma che nonostante la disponibilità del dominio ns-a1.io, questo effettivamente non fosse registrabile.

Con grande stupore scoprì il contrario, tanto che attorno alla mezzanotte, tentò l’acquisto per vedere se effettivamente sarebbe riuscito a portarlo a termine. Fu così:

Matthew iniziò a ricevere il traffico DNS per l’estensione .io e certamente non voleva bloccare tutti gli utenti che avevano registrato un dominio .io e il server iniziò a non rispondere più a tutte le query DNS (visto il traffico decisamente elevato).
Il secondo problema che Bryant si pose era: quanti altri nameserver potevano essere registrati arbitrariamente causando un notevole danno? In fin dei conti bastava aver del denaro a disposizione e la conoscenza per farlo.

Dopo aver cercato i contatti per il .io nel database di IANA (admin@icb.co.uk) Matthew decise di scrivere un’email riportando il problema riscontrato e dimostrando l’urgenza di risolvere il bug.
Purtroppo dopo aver premuto “Invia” il messaggio che tornò indietro fu di errore, l’indirizzo inserito non esisteva.

 

Non il massimo della serietà a quanto pare. Però questo spinse Matthew ad acquistare i nameserver rimasti disponibili alla registrazione, per prevenire qualsiasi attacco hacker sulla TLD.
Come nel primo caso, impostò i suoi DNS perché non rispondessero alle query in entrata in modo da non interferire con il traffico dei .io.
L’ordine di registrazione fu evaso velocemente.

Il giorno dopo Matthew chiamò il supporto del NIC.IO richiedendo il corretto indirizzo email della persona che si occupava della sicurezza e gli inoltrò la stessa email inviata durante la nottata con il report.

Questa volta una reazione ci fu.

Il giorno dopo il ticket di Matthew fu segnato come risolto e i domini da lui acquistati, revocati dal 101Domain legal department.

Dopo questa affascinante avventura, quali sono state le implicazioni della “distrazione” che poteva permettere un attacco hacker massivo a tutti i domini .io utilizzando una semplice carta di credito?

Se l’acquirente non fosse stato Matthew ma una persona non dotata di buone intenzioni, avrebbe registrato 4 dei dei nameserver autoritativi per l’estensione .io e avrebbe potuto reindirizzare tutti DNS di tutti i domini registrati con quella TLD.
Anche se ci fosse stato un intervento repentino, come quello avvenuto dopo la segnalazione, sarebbe comunque stato necessario un po’ di tempo prima che i record memorizzati in cache si aggiornassero correttamente.

Quindi i domini possono subire attacchi hacker e questo episodio ne è stata la prova. Non possiamo che confidare sull’efficacia del team preposto alla sicurezza per ogni TLD e di trovare in giro più Matthew e meno hacker!

By |27/07/2017 - 11:15|0 Comments

Lascia un Commento